Kötü yönetilen Linux SSH sunucuları, ShellBot adlı bir kötü amaçlı yazılımın farklı türevlerini dağıtan yeni bir kampanyanın parçası olarak hedefleniyor.
“ShellBot olarak da bilinir PerlBotPerl’de geliştirilen bir DDoS Bot kötü amaçlı yazılımıdır ve karakteristik olarak C&C sunucusuyla iletişim kurmak için IRC protokolünü kullanır,” AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) söz konusu bir raporda.
ShellBot, zayıf kimlik bilgilerine sahip sunuculara yüklenir, ancak yalnızca tehdit aktörleri, SSH bağlantı noktası 22’nin açık olduğu sistemleri belirlemek için tarayıcı kötü amaçlı yazılımından yararlandıktan sonra.
Bilinen SSH kimlik bilgilerinin bir listesi, sunucuyu ihlal etmek ve yükü dağıtmak için bir sözlük saldırısı başlatmak için kullanılır ve ardından İnternet Aktarmalı Sohbet’ten yararlanır (IRC) uzak bir sunucuyla iletişim kurmak için protokol.
Bu, ShellBot’un DDoS saldırıları gerçekleştirmesine ve toplanan bilgileri sızdırmasına izin veren komutları alma yeteneğini kapsar.
ASEC, üç farklı ShellBot sürümü belirlediğini söyledi – LiGhT’nin Modded perlbot v2, DDoS PBot v2.0 ve PowerBots (C) GohacK – ilk ikisi HTTP, TCP ve UDP protokollerini kullanan çeşitli DDoS saldırı komutları sunuyor.
Öte yandan PowerBots, ters kabuk erişimi sağlamak ve güvenliği ihlal edilmiş ana bilgisayardan rasgele dosyaları yüklemek için daha fazla arka kapı benzeri yeteneklerle birlikte gelir.
Bulgular, ShellBot’un bir kabuk komut dosyası derleyici aracılığıyla kripto para birimi madencilerini de dağıtan Linux sunucularını hedef alan saldırılarda kullanılmasından yaklaşık üç ay sonra geldi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
ASEC, “ShellBot kuruluysa, Linux sunucuları, tehdit aktöründen bir komut aldıktan sonra belirli hedeflere yönelik DDoS saldırıları için DDoS Botları olarak kullanılabilir.” dedi. “Ayrıca, tehdit aktörü, güvenliği ihlal edilmiş sunucudan ek kötü amaçlı yazılım yüklemek veya farklı türde saldırılar başlatmak için çeşitli diğer arka kapı özelliklerini kullanabilir.”
Geliştirme aynı zamanda Microsoft olarak geliyor açıklığa kavuşmuş Azure’da barındırılan sağlık kuruluşlarını hedef alan DDoS saldırılarının sayısında, Kasım 2022’de 10-20 saldırıdan Şubat 2023’te günlük 40-60 saldırıya yükselen kademeli bir artış.
